2026年软考《网络规划设计师》考试试题及答案

2026年软考《网络规划设计师》考试试题及答案一、上午试题1.在OSPF协议中，关于LSA（链路状态通告）类型的描述，正确的是（）。A.Type-1LSA由区域边界路由器（ABR）生成，用于描述到达其他区域的路径B.Type-2LSA由网络中的DR（指定路由器）生成，用于描述广播网和NBMA网络的拓扑信息C.Type-3LSA由ASBR（自治系统边界路由器）生成，用于描述到达AS外部的路由D.Type-5LSA用于描述虚链路的连接状态2.某企业采用IPv6网络，地址规划为2001:DB8::/48。若需要将该地址块划分为4个大小相等的子网，则每个子网的前缀长度是（）。A./49B./50C./64D./523.在MPLS（多协议标签交换）网络中，用于标签分发的主要协议是（）。A.LDPB.BGPC.OSPFD.RSVP-TE4.以下关于Wi-Fi7（802.11be）标准的技术特性，描述错误的是（）。A.支持最大320MHz信道带宽B.引入了4KQAM调制技术，提升了数据传输速率C.仅支持2.4GHz频段，以获得更好的穿墙能力D.支持MLO（多链路操作），允许设备同时在多个频段传输数据5.在网络安全架构设计中，零信任网络模型的核心原则是（）。A.信任内部网络，不信任外部网络B.永不信任，始终验证C.仅验证边界流量D.基于物理位置进行访问控制6.某网络链路带宽为1Gbps，报文平均长度为1000字节，该链路上每秒通过的平均报文数为（）。A.B.1.25C.D.87.在BGP协议中，用于影响路由选优的本地优先级（LocalPreference）属性的作用范围是（）。A.仅在本路由器有效B.在同一个AS内有效C.在相邻的AS之间传递D.全球互联网范围内有效8.以下关于VXLAN（虚拟可扩展局域网）技术的描述，正确的是（）。A.VXLAN使用UDP协议封装，默认端口号为4789B.VXLAN的VNI（VXLAN网络标识符）长度为24位，支持1600万个虚拟网络C.VXLAN主要用于二层网络互联，不支持跨网段的三层通信D.VXLAN不需要物理网络提供IP路由功能9.在网络故障排查中，使用ping命令测试连通性时，若显示“Requesttimedout”，通常意味着（）。A.目标主机不可达B.请求超时，可能是网络拥塞或目标主机防火墙丢弃C.本机网络配置错误D.物理链路断开10.某数据中心采用FCoE（FibreChanneloverEthernet）技术，其主要目的是（）。A.将光纤通道流量封装在以太网帧中，实现网络融合B.提高光纤通道的传输速率C.增强存储网络的安全性D.减少以太网的广播流量11.在SNMPv3中，提供了基于USM（User-basedSecurityModel）的安全机制，不包括（）。A.认证B.加密C.访问控制D.压缩12.某公司计划部署一个高可用的Web服务集群，采用LVS（LinuxVirtualServer）作为负载均衡器。为了实现负载均衡器的高可用性，通常配合使用的软件是（）。A.NginxB.KeepalivedC.HeartbeatD.HAProxy13.在5G网络架构中，负责用户面数据路由和转发的核心网功能是（）。A.AMF（AccessandMobilityManagementFunction）B.SMF（SessionManagementFunction）C.UPF（UserPlaneFunction）D.UDM（UnifiedDataManagement）14.某以太网交换机配置了STP（生成树协议），若端口状态转换为Forwarding（转发）状态，必须经历的中间状态不包括（）。A.BlockingB.ListeningC.LearningD.Discarding15.在网络流量分析中，NetFlow技术主要用于（）。A.实时阻断网络攻击B.收集IP流量信息，进行计费和网络分析C.加密数据流D.负载均衡16.某主机IP地址为3，子网掩码为40，则该主机的网络地址和广播地址分别是（）。A.2,7B.,55C.2,3D.6,117.在软件定义网络（SDN）架构中，南向接口协议不包括（）。A.OpenFlowB.NetconfC.OVSDBD.NorthboundAPI18.关于IPsecVPN协议簇，负责密钥交换的协议是（）。A.AHB.ESPC.IKED.SHA19.某企业网络中，核心层交换机与汇聚层交换机之间采用链路聚合技术，若聚合组中有4条千兆链路，则该聚合链路的总带宽理论值为（）。A.1GbpsB.2GbpsC.4GbpsD.8Gbps20.在DNS服务器配置中，用于记录邮件服务器地址的资源记录类型是（）。A.AB.CNAMEC.MXD.NS21.某网络规划师在设计无线网络覆盖时，为了保证信号质量，相邻AP的信道重叠区域应满足（）。A.同频干扰越大越好B.采用1、6、11信道完全隔离C.频率复用度为1D.相邻AP使用相同信道以实现无缝漫游22.在云计算环境中，关于IaaS、PaaS、SaaS的服务模式，以下说法正确的是（）。A.IaaS提供商管理操作系统和应用程序B.PaaS用户需要关心底层硬件维护C.SaaS用户无需管理任何基础设施，直接使用软件D.OpenStack主要提供SaaS服务23.某网络设备CPU利用率为100%，通过查看进程发现是某个管理进程异常。此时应采取的优先措施是（）。A.立即重启设备B.升级设备固件C.调整进程优先级或终止异常进程D.更换硬件设备24.在RIP协议中，最大跳数被限制为15，其主要目的是（）。A.减少路由表大小B.防止路由环路C.提高收敛速度D.限制网络规模25.某园区网规划中，核心层设备需要支持40Gbps上行链路，若使用多模光纤，传输距离通常限制在（）。A.100米B.300米C.550米D.10公里26.在网络准入控制（NAC）技术中，802.1X协议是基于（）的端口访问控制协议。A.MAC地址B.IP地址C.端口号D.用户身份27.某公司拥有两个AS：AS100和AS200。若AS100希望从AS200获得全网路由，并希望自身成为AS200的transitAS，则BGP邻居建立方式为（）。A.IBGPB.EBGPC.ConfederationD.RouteReflector28.在数据通信中，香农公式描述了信道容量与带宽和信噪比的关系：C=A.提高一倍B.提高不足一倍C.保持不变D.变为029.某网络管理员在配置防火墙时，设置了默认拒绝所有策略，然后添加了允许规则。这种安全模型被称为（）。A.黑名单模型B.白名单模型C.灰名单模型D.混合模型30.在IPv6过渡技术中，用于在IPv6网络中访问IPv4节点的技术是（）。A.双栈B.NAT64C.6to4隧道D.ISATAP31.某企业构建了基于VRRP（虚拟路由冗余协议）的网关冗余，若Master路由器的优先级为120，Backup路由器的优先级为100，且均配置了抢占功能。当Master恢复上线后，网络状态将（）。A.Master立即成为MasterB.Backup继续担任MasterC.两者状态震荡D.需要手动干预切换32.在QoS（服务质量）设计中，用于保证带宽和限制延迟的队列调度机制是（）。A.FIFOB.PQ（优先级队列）C.WFQ（加权公平队列）D.CBWFQ（基于类的加权公平队列）33.某Web服务器遭受了DDoS攻击，攻击特征是大量伪造源IP的HTTP请求。有效的防御手段是（）。A.在服务器端关闭HTTP服务B.在上游路由器部署uRPF（单播反向路径转发）C.增加服务器带宽D.修改DNS解析记录34.在网络存储中，关于SAN（存储区域网络）和NAS（网络附加存储）的区别，描述正确的是（）。A.SAN使用文件级访问，NAS使用块级访问B.SAN通常通过光纤通道或iSCSI连接，NAS通过NFS/CIFS连接C.SAN成本较低，适合中小企业D.NAS性能通常高于SAN35.某网络规划师在设计大型数据中心网络时，采用了Spine-Leaf架构，其主要优势是（）。A.减少设备数量，降低成本B.提供任意两点间的低延迟和无阻塞通信C.简化VLAN配置D.消除二层环路36.在SSL/TLS握手过程中，服务器发送给客户端的证书主要用于（）。A.身份认证B.密钥交换C.会话恢复D.数据加密37.某网络监控系统使用SNMPTrap来告警。关于Trap与Inform的区别，下列说法正确的是（）。A.Trap不需要确认，Inform需要确认B.Trap使用TCP，Inform使用UDPC.Inform是SNMPv1特有的D.Trap优先级高于Inform38.在路由策略工具中，用于匹配路由前缀长度的工具是（）。A.IPPrefix-listB.Route-mapC.Access-listD.AS-path-filter39.某公司内部网络规划使用了私有地址/8，现需要访问互联网。在出口防火墙上配置了NAT。若内网有10000个并发连接，建议配置的NAT地址池大小至少为（）。（假设每个公网IP可支持65535个端口，且考虑端口复用效率）A.1B.10C.100D.100040.在网络综合布线标准中，Cat6a（增强型六类线）支持的传输频率最高为（）。A.100MHzB.250MHzC.500MHzD.1000MHz二、下午试题试题一：企业园区网络规划与设计【背景说明】某大型科技公司计划建设新的总部园区网络，以满足未来5-10年的业务发展需求。园区包括行政楼、研发楼、数据中心和员工生活区。预计接入终端数量约为5000个，其中无线终端占比60%。业务系统涵盖办公OA、ERP、视频会议、核心代码库及大规模计算集群。【需求分析】1.高可用性：核心层和汇聚层设备需具备冗余能力，关键业务链路无单点故障。2.安全性：需实现部门间逻辑隔离，研发部门代码库需严格访问控制，防止内部攻击。3.无线接入：实现全园区无缝覆盖，支持高并发接入，且能无缝漫游。4.IP规划：采用私有地址，通过出口防火墙统一访问互联网。5.性能：核心交换机背板带宽需支持Tbps级别，数据中心内部需支持40G/100G互联。【问题1】（8分）在进行网络层次化设计时，通常采用核心层、汇聚层和接入层的三层架构。请结合本题场景，说明核心层、汇聚层和接入层的主要功能及设计建议。针对研发楼的接入层交换机，若需支持PoE+供电以供AP和IP电话使用，应关注哪些技术指标？【问题2】（10分）该园区规划使用OSPF作为内部路由协议。整个园区划分为Area0（核心区域）、Area1（行政楼）、Area2（研发楼楼）和Area3（数据中心）。请回答以下问题：1.OSPF的网络类型有哪几种？在以太网链路中，默认选举DR/BDR的网络类型是什么？2.为了防止路由表过大，希望在汇聚层路由器进行路由汇总。若Area2使用的IP地址段为/20到/20，请写出在ABR（区域边界路由器）上配置的汇总路由命令（以Cisco风格为例）。3.为了加快OSPF的收敛速度，可以调整哪些定时器参数？（请列举至少两个）【问题3】（12分）园区无线网络采用FitAP+AC（无线控制器）架构。为了实现无缝漫游，需配置二层漫游或三层漫游。1.请简述二层漫游与三层漫游的区别。2.若用户从行政楼（VLAN10）漫游到研发楼（VLAN20），且业务不中断，这属于哪种漫游？此时AC需要处理哪些关键动作以保证流量正常转发？3.针对高密度的会议室环境，除了增加AP数量外，还可以采用哪些射频优化技术来提升吞吐量和并发能力？（列举至少3点）【问题4】（5分）在网络安全设计中，研发部门代码库服务器放置在DMZ区域。请设计一种安全策略，使得只有研发楼的用户（IP段/16）才能访问该服务器的TCP8443端口，且需对访问流量进行深度包检测。请在下表中补充防火墙规则。源地址目的地址协议端口动作选项/16代码库服务器IPTCP8443(1)启用DPIanyanyanyany(2)-试题二：广域网互联与VPN设计【背景说明】某跨国企业在中国北京（总部）、上海（分部）和美国纽约（海外分部）设有分支机构。各节点间需进行数据交换，包括ERP数据同步、VoIP语音通话和视频会议。北京总部拥有专线接入互联网，上海和纽约通过本地ISP接入互联网。【需求分析】1.站点互连：北京、上海、纽约三个站点需要全互联通信，构建企业级专网。2.安全性：所有跨公网传输的数据必须加密，且需支持NAT穿越。3.QoS保障：保障VoIP和视频会议的优先级，在带宽拥塞时优先转发。4.可靠性：北京至上海的主链路为MPLSVPN，备份链路为IPSecVPNoverInternet。【问题1】（8分）该企业计划部署MPLSL3VPN作为主要互联方式。在MPLSVPN中，RT（RouteTarget）和RD（RouteDistinguisher）是两个重要的BGP扩展团体属性。1.请简述RD的主要作用。2.请简述RT（ExportRT和ImportRT）在路由传播中的控制机制。3.若北京和上海属于同一个VPN（VPN_A），纽约属于另一个VPN（VPN_B），为了实现北京和上海互通，但与纽约隔离，它们的RT配置应满足什么关系？【问题2】（10分）在MPLS链路故障时，流量需切换至IPSecVPN备份链路。IPSecVPN采用IKEv2协商。1.IPSec协议包含SA（安全关联），SA是单向的。若要建立双向通信，通常需要多少个SA？请说明ESP协议提供的安全服务（至少两点）。2.IKEv2协商分为两个阶段，请简述这两个阶段的主要任务。3.若纽约分部位于NAT网关后，为了实现IPSecVPN穿越NAT，需要开启什么功能？该功能是如何工作的？【问题3】（10分）为了保障关键业务，需要在出口路由器上配置QoS。假设北京至上海的MPLS链路保证带宽为100Mbps，IPSec备份链路带宽为20Mbps。1.请设计一个简单的QoS策略模型，将流量分为三类：信令控制流（优先级最高）、语音视频流（保证带宽）、普通数据流（剩余带宽）。2.在CBWFQ（基于类的加权公平队列）中，若为语音视频类分配带宽40Mbps，使用bandwidth命令分配，当拥塞发生时，该类流量最多能占用多少带宽？（假设未配置priority命令）3.若要严格限制普通数据流在备份链路上不超过10Mbps，应使用什么机制？【问题4】（7分）在BGP路由设计中，北京总部作为AS100，连接到ISP的AS200。ISP分配给北京的公网网段为/24。1.若北京总部希望优先走MPLS链路访问上海，IPSec链路仅作备份，可以通过修改BGP的什么属性来实现？（假设两条链路均通过BGP学习到路由）2.请写出在Cisco路由器上，将本地路由/24注入BGP的命令。试题三：网络故障分析与数据中心架构【背景说明】某互联网公司自建数据中心，采用Spine-Leaf架构。Spine层为2台高性能交换机（S1,S2），Leaf层为4台交换机（L1,L2,L3,L4）。L1和L2连接计算节点，L3连接存储节点，L4连接边界路由器。网络运行OSPFIGP和EVPN-VXLAN作为控制平面。【故障现象】运维人员收到告警，部分位于L1下的虚拟机无法访问位于L3下的存储服务，导致计算任务挂起。同时，Spine交换机S1的CPU利用率飙升。【问题1】（10分）1.在Spine-Leaf架构中，为了实现任意两点间的等价多路径路由，Leaf交换机通常如何连接Spine交换机？2.EVPN-VXLAN控制平面中，VTEP（VXLAN隧道端点）之间通过什么协议来传递MAC和IP地址信息？相比传统的flood-and-learn学习方式，EVPN有什么优势？3.针对S1CPU利用率飙升的现象，请列举可能的原因（至少3点）。【问题2】（12分）通过抓包分析，发现L1到L3的VXLAN封装包中，TTL（生存时间）字段异常。1.在VXLAN封装中，外层UDP头部的目的端口默认是多少？VNI位于哪个字段之后？2.若在Spine交换机上启用了ECMP（等价多路径路由），但发现流量哈希不均匀，导致某条链路拥塞，可能是什么原因？如何优化？3.故障排查发现，L1和L3之间的BGPEVPN邻居关系中断。请列举BGP邻居建立失败的常见原因（至少3点）。【问题3】（8分）该数据中心计划引入SDN（软件定义网络）控制器进行统一管理。1.请简述在SDN架构中，控制器与交换机之间的南向接口协议OpenFlow的工作机制（简述流表匹配过程）。2.控制器通过Netconf协议对设备进行配置，Netconf基于什么传输协议？其配置数据以什么格式编码？3.引入SDN后，可以实现网络自动化部署。请简述“网络即代码”的核心理念。【问题4】（5分）为了优化存储性能，L3下接的存储阵列支持iSCSI多路径。1.iSCSI协议运行在TCP/IP之上，默认端口是多少？2.在配置iSCSI多路径时，服务器端通常需要安装什么软件模块？3.若从网络层面保障iSCSI流量不丢包，应开启什么交换机功能？三、参考答案与解析一、上午试题参考答案1.B解析：Type-1LSA是RouterLSA，由每个路由器生成；Type-2LSA是NetworkLSA，由DR生成；Type-3LSA是SummaryLSA，由ABR生成；Type-5LSA是ASExternalLSA，由ASBR生成。2.B解析：/48划分4个子网，需要借用2位（=43.A解析：LDP（标签分发协议）是MPLS中用于标签分发的主要协议，RSVP-TE用于流量工程，BGP也可以分发标签但主要用于VPN。4.C解析：Wi-Fi7支持2.4GHz、5GHz和6GHz频段，并非仅支持2.4GHz。5.B解析：零信任模型的核心原则是“永不信任，始终验证”，无论访问请求来自内部还是外部。6.B解析：1Gbp7.B解析：LocalPreference是公认自主属性，用于在AS内部优选路由，不会传给EBGP邻居。8.A解析：VXLAN使用UDP封装，标准端口4789；VNI是24位，支持约1600万（）；VXLAN主要解决大二层问题，依赖底层IP路由。9.B解析：“Requesttimedout”表示发出了请求但未收到回复，可能是中间路径丢包、目标关闭了ICMP响应或处理延迟过大。10.A解析：FCoE将FibreChannel帧封装在以太网帧中，使得存储流量和IP流量可以在同一物理网络传输。11.D解析：USM提供认证和加密，访问控制通常通过VACM（View-basedAccessControlModel）实现。12.B解析：Keepalived是专门为LVS和HA设计的高可用软件，常用于VRRP实现。13.C解析：UPF（UserPlaneFunction）是5G核心网中负责用户面数据处理和转发的功能。14.D解析：STP端口状态迁移：Blocking->Listening->Learning->Forwarding。Discarding是RSTP/MSTP中的概念，包含了Blocking、Listening等状态。15.B解析：NetFlow是一种流量统计技术，用于采集IP流量的详细信息，用于网络计费、分析和规划。16.A解析：掩码40（/28），块大小为16。33属于32-47这个块。网络地址32，广播地址47。17.D解析：NorthboundAPI是北向接口，南向接口包括OpenFlow、Netconf、OVSDB等。18.C解析：IKE（InternetKeyExchange）负责IPsecSA的协商和密钥管理。19.C解析：4条千兆链路聚合，理论总带宽为4Gbps。20.C解析：MX记录用于指定邮件服务器，A记录是主机名到IP，CNAME是别名，NS是域名服务器。21.B解析：2.4GHz频段只有1、6、11三个互不干扰的信道，相邻AP应使用这些信道以减少同频干扰。22.C解析：SaaS（软件即服务）用户直接使用软件，无需管理底层设施；IaaS用户管理OS和App；PaaS用户管理App。23.C解析：应先尝试调整进程或重启服务，重启设备是最后手段，升级固件需评估。24.B解析：RIP最大跳数15（16表示不可达），主要是为了防止计数到无穷大产生的路由环路。25.C解析：OM3/OM4多模光纤在40G速率下传输距离通常为100-300米左右（OM4可达），但在10G/40G特定标准下，OM3可达300米，OM4可达550米。题目若指一般标准多模，OM3是300米，OM4是550米。若未指定光纤类型，通常指OM3/OM4常见场景。选项C（550米）是OM4在40G下的标准距离。26.D解析：802.1X是基于端口的网络访问控制，通过验证用户身份来控制端口访问。27.B解析：不同AS之间建立的BGP邻居是EBGP。28.B解析：根据香农公式，C与lo(1+S/N)成正比。S/N提高一倍，对数值增加lo(2)=29.B解析：默认拒绝所有，显式允许特定流量，符合白名单模型。30.B解析：NAT64用于IPv6客户端访问IPv4服务器；6to4用于IPv6站点间通过IPv4网络通信；双栈需要双栈支持。31.A解析：VRRP中，若配置抢占且优先级高，Master恢复后会立即抢占成为Master。32.D解析：CBWFQ可以基于类分配带宽和权重，保证各类流的带宽；PQ严格优先级可能导致低优先级饿死；WFQ是自动加权；FIFO是先进先出。33.B解析：uRPF检查数据包源地址是否到达该接口的最佳路径，如果是伪造源IP通常会被丢弃。34.B解析：SAN是块级存储（FC/iSCSI），NAS是文件级存储（NFS/CIFS）；SAN通常性能更高、成本更高。35.B解析：Spine-Leaf架构提供全互联网络，任意两点间跳数固定，降低延迟，提供无阻塞带宽。36.A解析：服务器证书用于证明服务器身份，包含公钥用于密钥交换（但证书本身的主要作用是身份认证）。37.A解析：Trap是通知消息，不需要接收方确认；Inform是需要确认的Notification。38.A解析：IPPrefix-list专门用于匹配前缀及长度范围；Route-map是策略工具；ACL匹配IP包；AS-path-filter匹配AS路径。39.A解析：单个公网IP有65535个端口（约6.4万）。10000个并发连接远小于6.4万，理论上1个IP即可满足（假设没有端口冲突和耗尽情况）。40.C解析：Cat6a传输频率最高500MHz。二、下午试题参考答案试题一【问题1】核心层：是网络的主干，负责高速数据转发。设计时应具备高吞吐量、高可靠性，通常采用三层路由技术，尽量少配置策略以免影响转发速度。汇聚层：是核心层与接入层的中间层，负责策略实施（如ACL、VLAN间路由）、流量聚合和部门隔离。设计时应做冗余配置。接入层：负责终端用户接入，提供VLAN划分、端口安全等功能。PoE+技术指标：需关注单端口最大输出功率（至少30W）、整机最大供电功率、支持的PoE标准（802.3at）。【问题2】1.OSPF网络类型包括：Broadcast（广播）、NBMA（非广播多路访问）、P2P（点到点）、P2MP（点到多点）。在以太网中，默认是Broadcast类型，需要选举DR/BDR。2.汇总路由命令（Cisco）：`area2range`（或`area2range/20`，视IOS版本而定）3.调整的定时器：Hello间隔（HelloInterval）、死时间（DeadInterval）、LSA重传间隔（RetransmitInterval）、SPF计算延迟（SPFDelay）。【问题3】1.二层漫游：用户在同一个子网（VLAN）内的不同AP间切换，IP地址不变，无需网关介入。三层漫游：用户跨越不同子网（VLAN）切换，IP地址通常不变（通过隧道技术），但数据流需要跨网段转发，需AC或网关支持。2.属于三层漫游。AC的关键动作：AC需要将用户的数据流量通过隧道（如CAPWAP或GRE）封装转发到用户原本所属的子网网关（家乡代理）进行路由，确保IP连通性不中断。3.射频优化技术：启用小带宽禁用（如禁用2.4GHz，只用5GHz）。启用小带宽禁用（如禁用2.4GHz，只用5GHz）。启用RRM（无线资源管理），自动调整功率和信道。启用RRM（无线资源管理），自动调整功率和信道。启用WMM（Wi-Fi多媒体）协议。启用WMM（Wi-Fi多媒体）协议。开启空口调度优化（如AirtimeFairness）。开启空口调度优化（如AirtimeFairness）。使用定向天线或缩小AP发射功率减少同频干扰。使用定向天线或缩小AP发射功率减少同频干扰。【问题4】(1)Permit(或允许)(2)Deny(或拒绝)试题二【问题1】1.RD（RouteDistinguisher）：主要作用是解决VPN中IPv4地址重叠问题。通过添加RD前缀（如64位），使原本相同的IPv4路由变成唯一的VPN-IPv4路由，在BGP进程中区分。2.RT机制：RT用于控制VPN路由的导入和导出。ExportRT：路由器在发布VPN路由时，附加ExportRT属性。ExportRT：路由器在发布VPN路由时，附加ExportRT属性。ImportRT：路由器在接收VPN路由时，检查路由携带的RT是否与本地VPN实例的ImportRT匹配，若匹配则加入路由表。ImportRT：路由器在接收VPN路由时，检查路由携带的RT是否与本地VPN实例的ImportRT匹配，若匹配则加入路由表。3.北京和上海互通：它们的VPN_A实例配置的RT应相互匹配（如北京的ExportRT=上海的ImportRT，上海的ExportRT=北京的ImportRT）。与纽约隔离：VPN_B的RT应与VPN_A的RT不同，不匹配。【问题2】1.需要两个SA（inboundSA和outboundSA）。ESP提供的安全服务：机密性（加密）、数据源认证、抗重放保护、完整性校验。2.IKEv2两个阶段：第一阶段（IKESAINIT）：建立IKE安全关联（IKESA），协商加密算法、认证算法等参数，进行身份认证。第一阶段（IKESAINIT）：建立IKE安全关联（IKESA），协商加密算法、认证算法等参数，进行身份认证。第二阶段（CHILDSACREATE）：基于IKESA建立IPsec安全关联（ChildSA），协商具体的数据流加密参数。第二阶段（CHILDSACREATE）：基于IKESA建立IPsec安全关联（ChildSA），协商具体的数据流加密参数。3.需要开启NAT-T（NATTraversal）功能。工作原理：NAT-T发现NAT设备后，将IPsecESP报文封装在UDP端口4500的数据包中，UDP头部的IP地址和端口可以被NAT设备正确修改和转换，从而穿越NAT网关。【问题3】1.QoS策略模型：信令控制流：使用LLQ（低延迟队列）或PriorityQueue，严格优先级。语音视频流：使用CBWFQ，分配保证带宽（如40Mbps）。普通数据流：使用CBWFQ，分配剩余带宽或设置默认类。2.最多能占用100Mbps。在CBWFQ中，若使用`bandwidth`命令分配的是最小保证带宽。当拥塞发生时，各类按权重分配带宽；若没有其他流量，该类可以占用剩余的所有可用带宽（直到物理接口上限）。但严格来说，`bandwidth`是保证值，不是限制值。题目问“最多”，若其他类没有流量，它可以用满链路。如果问的是“拥塞发生时”，意味着有竞争，那么它按比例分配。但通常`bandwidth`只设下限。若设`shape`或`police`则设上限。此处回答：如果拥塞且其他类也有流量，它保证40M；如果其他类没流量，它可以占满100M。题目可能意图是考察`bandwidth`是保证带宽，而`priority`是严格限制+保证。若只配置`bandwidth40`，在拥塞时，它至少得40，多余带宽按权重分。若问“最多”，在无其他流量时是100M。修正理解：通常考试中，若问CBWFQ中配置了bandwidth40k，拥塞时它能拿多少？答案是：至少40k，具体看权重。但如果是Policing/Shaping则是限制。这里问“最多”，在无竞争下是链路带宽。但若结合上下文“拥塞发生时”，可能暗示有竞争。但在无`priority`且无`policing`的情况下，它可以使用所有未分配带宽。为了严谨，回答：若其他类无流量，可占100Mbps；若全满，按权重分配，但保证40Mbps。修正理解：通常考试中，若问CBWFQ中配置了bandwidth40k，拥塞时它能拿多少？答案是：至少40k，具体看权重。但如果是Policing/Shaping则是限制。这里问“最多”，在无竞争下是链路带宽。但若结合上下文“拥塞发生时”，可能暗示有竞争。但在无`priority`且无`policing`的情况下，它可以使用所有未分配带宽。为了严谨，回答：若其他类无流量，可占100Mbps；若全满，按权重分配，但保证40Mbps。简化回答：若不配置`police`，它可以占用链路剩余的所有带宽，即理论上可达100Mbps（如果其他类不使用）。简化回答：若不配置`p